클로드 코워크 안전하게 사용하기 — 권한 위임과 정보 유출 정리

 

클로드 코워크(Claude Cowork) 는 엔트로픽(Anthropic) 이 공개한 데스크톱 자율 에이전트로, 로컬 파일과 응용 프로그램을 직접 다루며 사용자가 던진 목표를 끝까지 처리한다. 편의가 큰 만큼 어디까지 권한을 줄지 함께 결정하지 않으면 정보 유출의 문은 사용자 쪽에서 먼저 열린다.

처음 관심을 둔 계기는 트위치(Twitch) 였다. 클로드가 컴퓨터의 권한을 얻어 포켓몬을 플레이하는 스트림이 한참 화제였다. 같은 입력 권한이 게임이 아니라 작업 폴더로 향하면 무엇이 새어 나갈지 따져 보고 싶어졌다. 보안 도메인의 AI 개발자로서 그날부터 머리에 남은 질문을 이 글에 정리한다.

 

반응형

클로드 코워크가 컴퓨터에서 수행하는 작업

 

클로드 코워크는 단순한 채팅 도구가 아니다. 데스크톱 앱이 직접 파일 시스템과 응용 프로그램에 접근해 작업을 끝까지 수행한다. 엔트로픽 제품 페이지의 한 줄이 명확하다. "목표를 주면 클로드가 당신 컴퓨터, 로컬 파일, 응용 프로그램 위에서 작업해 결과물을 돌려준다"(출처)

일반 업무까지 영역을 넓힌 자율 에이전트

기존에 개발자 위주로 쓰이던 클로드 코드(Claude Code) 가 터미널에서 명령을 실행했다면, 클로드 코워크는 같은 자율성을 일반 사무 작업으로 옮겼다. 발표 자료를 정리하고, 받은 메일을 카테고리별로 옮기고, 다운로드 폴더의 영수증을 회계 양식에 맞춰 다시 쓰는 식이다.

엔트로픽 발표 자료에 따르면 클로드의 모든 유료 플랜에 포함된다. 코드 영역에서 검증된 자율 실행 능력이 일반 업무 도구로 본격적으로 넘어온 셈이다.

 

공식 문서가 직접 알리는 위험: 파일 삭제

흥미로운 건 엔트로픽의 경고다. IT Pro 의 정리에 따르면 출시 안내에 "이 시스템이 당신 파일을 삭제하기로 결정할 수도 있다"는 문구가 들어 있다. 자율 에이전트가 어디까지 갈 수 있는지를 만든 사람이 먼저 인정한 셈이다.

편의를 강조하는 발표 한가운데에 이런 한 줄이 자리 잡고 있다는 점은 그 자체로 신호다. 도구가 강력해지는 만큼 위임 범위 결정이 사용자 책임으로 넘어왔다는 뜻이기도 하다.

 

권한 부여 방식: MCP 기반 폴더 화이트리스트

기술적으로는 모델 컨텍스트 프로토콜(Model Context Protocol, MCP) 위에서 동작한다. 사용자가 신뢰 디렉토리를 지정하면 클로드는 그 안의 파일만 읽고 쓴다. 설정 파일은 단순하다.

{
  "mcpServers": {
    "filesystem": {
      "command": "npx",
      "args": [
        "@modelcontextprotocol/server-filesystem",
        "/Users/me/work/safe-folder"
      ]
    }
  }
}

화이트리스트 위에 권한을 매번 묻는 옵션이 한 번 더 깔린다. 다만 이 두 줄도 절대적이지는 않다. 2025년 한 보안 연구자가 엔트로픽 공식 Filesystem MCP 서버에서 경로 검증 우회 취약점을 보고했다. 잘못된 경로 처리로 화이트리스트 밖 파일이 노출될 수 있다는 내용이었다.

실제 운영에서는 권한 알림이 한 작업당 수십 번 쌓이기도 한다. 새 파일을 읽거나 쓸 때마다 허용·거부를 묻기 때문이다. 처음엔 꼼꼼히 확인하더라도 같은 알림이 반복되면 무심코 모두 허용으로 넘기기 쉬운 구조다. 권한 모델의 가장 약한 지점은 결국 사용자 피로이고, 이 피로는 코드가 아니라 운영 습관에서 다뤄야 한다.

 

정보 유출이 일어나는 세 가지 경로

권한을 한 번 위임하면 그 안의 모든 텍스트가 모델의 시야에 들어온다. .env 파일 한 줄, 메모 앱의 임시 메모, 내려받은 계약서 PDF가 같은 작업 폴더에 있으면 모델은 모두 같은 파일로 본다.

 

환경 변수 파일을 통한 키 노출

개발자라면 익숙한 장면이다. 액세스 키(access key) 와 시크릿 키(secret key) 가 들어 있는 .env 가 작업 폴더 어딘가에 있다. AI 에이전트가 그 폴더에 권한을 받으면, 코드를 정리하면서 환경 변수 파일을 자연스럽게 읽는다.

모델이 무엇을 외부 호출에 실어 보낼지 사용자가 매번 검증하기는 어렵다. 키가 한 번 토큰 형태로 외부에 전달되는 시점이 곧 사고의 시작이다.

 

프롬프트 인젝션을 통한 데이터 탈취

사고는 추상이 아니다. 2025년 6월, 마이크로소프트(Microsoft) 365 코파일럿(Copilot) 에서 CVE-2025-32711, 이른바 EchoLeak 취약점이 공개됐다. 메일에 숨긴 프롬프트 인젝션이 사용자 클릭 없이 사내 데이터를 외부로 빼낸 첫 제로클릭(zero-click) 사례였다.(출처)

엔트로픽도 오푸스 4.5(Claude Opus 4.5) 에서 인젝션 견고성을 끌어올렸다고 발표했지만(출처), 같은 카테고리의 사고는 또 반복된다는 가정으로 보는 게 안전하다.

 

"학습에 사용하지 않는다"는 약속의 한계

엔트로픽은 사용자 데이터를 모델 학습에 사용하지 않는다고 명시한다. 다만 모든 주요 AI 벤더가 같은 약속을 한다. 그리고 이 약속은 데이터가 일단 넘어간 뒤의 약속이다.

키 파일이 한 번 모델에 들어간 시점에서, 학습에 사용되느냐는 두 번째 문제다. 유출된 정보는 맞춤형 피싱이나 기업 손해배상 같은 형태로 곧장 비용을 만든다.

 

권한을 안전하게 주는 네 가지 방법

 

써본 도구는 매번 달랐지만 실수의 형태는 비슷했다. 권한 범위를 좁히지 않은 채 자율 에이전트에게 키를 통째로 넘기면, 사고는 사용자가 잠깐 주의를 놓쳤을 때 오는 게 아니라 처음 권한을 줄 때 이미 발생한다.

 

직접 겪은 자율 에이전트 사고 사례

지난해 다른 자율 코딩 에이전트로 마이그레이션 스크립트 정리를 맡겼다가 개발 DB 가 한 번 통째로 날아갔다. 또 한 번은 라이브러리 정리를 부탁했더니 원본 소스 일부가 조용히 변경된 채 커밋되어 있었다.

그때의 패턴이 자율 에이전트 전반에 똑같이 깔려 있다. 화면 안 도구가 화면 밖 파일까지 손대는 순간, 사고의 반경은 단번에 커진다.

 

폴더 분리: 작업용과 민감 정보용 디렉토리 구분

지금은 단순한 원칙으로 사용한다. 개인정보·기업 기밀·인증서·키가 들어 있는 폴더에는 어떤 에이전트도 접근시키지 않는다. 작업용 폴더 하나를 따로 만들고, 그 안에 그 작업에 필요한 파일만 복사해 둔다.

키와 시크릿은 비밀번호 관리자나 별도 디렉토리에 모아 두고 에이전트의 시야에서 떼어 놓는다. 이 한 단계만으로도 .env 류 사고는 대부분 막힌다.

 

위임 기준: 회복 가능한 일과 회복 불가능한 일

행동 단위로도 선이 있다. 코드 작성, 메일 초안 작성과 검토 후 발송 정도는 에이전트에게 넘긴다. 비밀번호를 입력해 로그인한 뒤 결제까지 가는 흐름은 넘기지 않는다.

쇼핑이라면 장바구니에 담는 것까지만 에이전트, 결제 클릭은 사람이 한다. 잘못 새어 나갔을 때 회복할 수 있는 일과 회복할 수 없는 일을 기준으로 선을 그으면 단순해진다.

 

엔터프라이즈 보호 장치: 인증과 자체 클라우드

기업이라면 엔트로픽이 SOC 2 타입 II, ISO 27001, 의료 정보 처리용 HIPAA BAA 같은 인증을 갖췄다는 점이 도움이 된다(출처). AWS 베드락(Amazon Bedrock) 이나 구글 버텍스(Google Vertex AI) 위에서 모델을 호출하면, 데이터가 회사가 이미 사용 중인 클라우드 경계 안에서만 흐르도록 둘 수 있다.

자체 인프라를 벗어나는 길을 한 겹 더 막는 셈이다. 다만 이런 보호도 사용자가 작업 폴더에 키 파일을 그대로 둔 채 권한을 통째로 넘기면 의미가 없다. 마지막 한 줄은 결국 사용자가 그어야 한다.

 

짧게 정리

편함만 보고 권한을 통째로 넘기면 사고는 처음 권한을 줄 때 이미 시작된다. 클로드 코워크는 좋은 도구지만, 무엇을 위임하고 무엇은 사람이 직접 누를지를 사용자 쪽에서 먼저 정해 둬야 한다. 다음 권한을 누르기 전에 작업 폴더의 .env 가 어디에 있는지부터 한 번 확인하면 작은 사고는 시작 전에 막힌다. 편의를 얻는 만큼 어떤 위험까지 받을지는 결국 사용자가 직접 정해 둬야 할 몫이다.